动态 VLAN 的用户数据包类型身份验证触发器
默认情况下,VLAN 身份验证由动态配置文件中的语句指定 accept 的任何数据包类型触发,该语句会实例化 VLAN 和用户接口。对于某些业务案例,您可能需要包含多种数据包类型的更通用的动态配置文件,但在某些情况下,您希望仅针对部分客户对 VLAN 进行身份验证。您可以使用该 packet-types 语句指定所需的子集。
数据包类型触发的示例用法
以下两个用例描述了您可能只想为某些订阅者而不为其他订阅者验证 VLAN 的情况。
Conserving resources in a mixed access model— 混合接入模型可能采用动态 VLAN 为 PPPoE 用户、IPoE 用户、IPv6oE 用户或其他用户类型提供服务。通常,PPPoE 用户是住宅客户,IP 用户是企业客户。了解这些订阅者的动态 VLAN 身份验证和配置文件实例化可以帮助您节省系统资源,并避免对扩展限制产生一些影响。
默认情况下,系统会根据配置的 VLAN 范围或堆叠 VLAN 范围为接口配置身份验证。因此,无论触发 VLAN 创建的数据包类型如何,都必须对在该范围内创建的每个动态 VLAN 进行身份验证。这对于 IPoE 和 IPv6oE 用户来说效果很好,因为动态 VLAN 身份验证允许调配 RADIUS 源的服务,例如 CoS 和过滤器。但是,PPPoE 用户通过 PPP 进行身份验证,因此不需要动态 VLAN 身份验证,并且会浪费系统资源。
您可以通过将动态 VLAN 身份验证限制为仅需要它的 VLAN,来避免这种浪费。通过该
packet-types语句,您可以指定只有 VLAN 接口上接受的数据包类型的子集可以触发身份验证。例如,在这种异构访问模型中,VLAN 动态配置文件可以接受 PPPoE、IPoE 和 IPv6oE 数据包。使用该packet-types语句指定只有 IPoE 或 IPv6oE 数据包可以启动 VLAN 身份验证时,系统不会将 PPPoE VLAN 提交到 RADIUS 进行身份验证。Overriding dynamic profiles in a mixed access model— 数据包类型触发的另一个用途是覆盖为某些订阅者配置的动态配置文件。为此,请创建一个动态配置文件以满足 PPPoE 订阅者的需求,并为 IPoE 订阅者创建另一个动态配置文件。在此模型中,PPPoE 订阅者占大多数订阅者,因此 PPPoE 调整的动态配置文件将应用于 VLAN 接口。将 IP 配置文件包含在瞻博网络客户端配置文件名称 VSA [26-174] 中。配置该
packet-types语句以指定仅 IP 数据包触发 VLAN 身份验证。收到 IPoE 数据包时,RADIUS 会对 VLAN 进行身份验证。RADIUS 返回 Client-Profile-Name VSA 中包含的覆盖配置文件以及 Access-Accept 消息中的任何其他会话属性。VLAN 自动配置过程通过实例化 IPoE 订阅者的 IP 配置文件来覆盖 PPPoE 配置文件。
用于 VLAN 创建和身份验证的数据包类型
表 1 列出了可以为 VLAN 身份验证配置的数据包类型,具体取决于为 VLAN 创建配置的数据包类型。
用于创建 VLAN 的数据包类型 |
VLAN 身份验证数据包类型 |
|---|---|
|
、 或 |
|
要么是 |
|
要么是 |
|
要么是 |
|
要么是 |
|
|
您不能同时将 andinet、或 和 inet6 dhcp-v6 as 数据包类型配置dhcp-v4为用于 VLAN 创建或身份验证的数据包类型。
在以下任一情况下,将对所有 VLAN 执行身份验证:
未指定要触发身份验证的数据包类型。
您同时为 VLAN 创建和身份验证配置该
any选项。
通常,当配置为触发 VLAN 创建的任何类型的数据包与配置用于触发 VLAN 身份验证的数据包类型之一匹配时,将执行 VLAN 身份验证。但是,对于某些已配置数据包组合,需要特定数据包来触发身份验证。 表 2 列出了这些特殊情况。
用于创建 VLAN 的数据包类型 |
VLAN 身份验证数据包类型 |
触发身份验证所需的数据包 |
|---|---|---|
|
|
任何 IPv4 数据包 |
|
|
任何 IPv6 数据包 |
|
|
DHCP 探索 |
|
|
DHCPv6 请求 |
|
|
DHCP 探索 |
|
|
DHCPv6 请求 |
|
|
DHCP 探索 |
|
|
DHCPv6 请求 |